[지디넷코리아]MS가 결점으로 골치를 썩고 있는 IE용 보안 업데이트를 실시함에 따라 인터넷 익스플로러 사용자들에겐 올해 연휴가 일찍 찾아온 셈이다. 이번에 나온 MS의 월간 패치 출시에서 다루고 있는 것은 상대적으로 위험도가 낮은 윈도우 2000 취약성에 대한 수정이었다.

크리스마스를 앞둔 감사의 시간에 MS도 한몫하고 있다. 올해 이 거대 소프트웨어 기업이 산타보다 먼저 사용자들에게 MS 패치 두 개를 선사한 것이다.

MS가 보안 공지(Microsoft Security Bulletin) MS05-054와 함께 6달 넘게 인터넷 익스플로러 브라우저에 숨어있던 심각한 취약점을 마침내 수정하면서 사용자들에게 올 연휴 때이른 선물을 선사했다. MS 월간 업데이트에 따라 MS는 보안 공지 MS05-055를 내놓았다. 이 보안 공지에서는 윈도우 2000의 다소 중요도가 낮은 위협을 해결해준다.

MS05-054
'인터넷 익스플로러용 누적 보안 업데이트'라는 제목의 MS 보안 공지 MS05-054에는 패치되지 않고 오랫동안 방치돼온 탓에 최근 몇 주 동안 상당히 부정적인 평가를 받아온 취약성에 대한 수정을 담고 있다. 영향을 받는 모든 플랫폼에 대해서 MS05-054는 MS 보안 공지 MS05-052를 대체한다.

이 보안 공지는 4가지 취약성을 해결해준다:

* 파일 다운로드 대화 상자 조작 취약성: 이 취약성은 원격 코드 수행 위협이다(CAN-2005-2829)

* HTTPS 프록시 취약성: 이 취약성은 정보 노출 위협이다(CAN-2005-2830)

* COM 객체 인스턴스화 메모리 오염 취약성: 이는 또다른 원격 코드 수행 위협이다(CAN-2005-2831)

* 일치하지 않는 문서 객체 모델 객체 메모리 오염 취약성: 이는 또다른 원격 코드 수행 위협이다(CAN-2005-1790)

적용 가능한 시스템
* 윈도우 2000 서비스 팩 4
* 윈도우 XP 모든 버전
* 윈도우 서버 2003 모든 버전
* 윈도우 98, 윈도우 SE, 윈도우 ME

심각도
플랫폼 하나만 예외이고, 취약성이 있는 나머지 플랫폼의 경우엔 누적 위협 수준이 크리티컬(critical)하다. 윈도우 서버 2003에서 돌아가는 인터넷 익스플로러 6의 경우 위협 수준은 보통(moderate)이다. 이 취약성은 COM 객체 인스턴스화 메모리 오염과 일치하지 않는 문서 객체 모델 객체 메모리 오염 취약성에 적용된다.

파일 다운로드 대화 상자 조작 취약성과 HTTP 프록시 취약성은 영향이 미치는 모든 시스템에 대해서 심각도가 중간(moderate)인 위협이다. 하지만 파일 다운로드 대화 상자 조작 취약성은 윈도우 서버 2003에서 돌아가는 IE 6에 대해서만 위험도 수준이 낮음(low)이다.

문제점을 완화하려면
파일 다운로드 대화 상자 조작 취약성의 경우 아웃룩 익스프레스 6, 아웃룩 2002, 아웃룩 2003을 이용해 제한된(Restricted) 보안 영역에서 HTML 이메일 메시지를 여는 것으로서 위협을 줄이거나 없앨 수 있다. 이같은 안전한 방법에 따라 이메일 메시지를 열면 COM 객체 인스턴스화 메모리 오염 취약성, 일치하지 않는 문서 객체 모델 객체 메모리 오염 취약성에 대한 위협 역시 줄이거나 없앨 수 있다. HTTPS 프록시 취약성은 로컬 네트워크 공격이고, 이렇게 해서 노출된 정보는 아마도 무작위적일 가능성이 있다.

수정하려면
빨리 업데이트를 설치하기 바란다. 브라우저 위협에서 쓸 수 있는 최상의 대안은 상식적으로 생각해봐서 알려지지 않았거나 신뢰할 수 없는 사이트는 피하고 알 수 없는 곳에서 온 이메일을 열지 않는 것이다.

파일 다운로드 대화 상자 조작 취약성을 해결하려면 액티브 스크립팅(Active Scripting)이 동작하기 전에 알려주도록 인터넷 익스플로러를 설정하거나, 인터넷과 로컬 인트라넷(Local Intranet) 보안 영역에서는 액티브 스크립팅을 사용하지 않도록 꺼두는 것이다. 이런 해결 방법은 COM 객체 인스턴스화 메모리 오염 취약성과 일치하지 않는 문서 객체 모델 객체 메모리 오염 취약성에도 적용된다.

HTTPS 프록시 취약성에 대해 MS가 제안하는 해결책은 HTTPS 통신에 대한 프록시로서 기본 인증(Basic Authentication)을 요구하는 인증 프록시 서버들의 사용을 피하는 것이다.

MS05-055
"윈도우 커널 취약성으로 권한 상승이 가능해질 수 있다"는 MS 보안 공지 MS05-055는 윈도우 2000 SP4에만 적용되는 권한 상승에 관한 다소 마이너한 위협이다. MS는 이 취약성의 위협 수준을 중요(important)로 매겼다.

현재 해결책은 나와있지 않다. 하지만 공격자가 이 취약성을 이용하기 위해선 유요한 로그온 인증서와 네트워크에 대한 로컬 액세스를 필요로 한다.

타임지가 ‘올해의 인물(Persons of the Year)’로 선정한 세 명 중 하나로 거론한 빌 게이츠는 충분히 그런 칭호를 받을 가치가 있다. 그러나 패치를 내놓고 항상 신랄한 비평을 감내하는 빌 게이츠와 MS에게 어느 정도는 측은한 감정도 든다.

이는 불행하지만 업계의 진실이다. 만약 어떤 회사가 패치를 내놓는다면 패치에는 아주 경미한 문제가 있을 것이다. 우리들 중에 결코 실수안하는 사람이 누가 있겠는가? 그러면 이 회사는 잘못된 패치를 출시했다는 비판을 받는다. 반면 어떤 회사가 패치를 모든 각도에서 포괄적으로 테스트한 후에 문제없는 패치를 출시하려고 뜸들이고 있다면, 이 회사는 패치 제공이 너무 느리다고 사용자들은 불평한다.

나는 기준을 제대로 지켜서 사용하고 있고, MS 코드 내에서 발견되거나 패치된 무수한 취약성들 때문에 실제로 당한 적은 결코, 정말 단 한 차례도 없었다. 많은 사람들이 문제에 직면해왔다는 건 알지만 쓰고 있는 방화벽 상태는 어떤지, 바이러스 시그너처를 얼마나 자주 업데이트 하는지, 온라인상에서 위험한 행동이라고 여기는 짓을 하고 있는지에 내가 뭐라고 이야기할 수는 없는 노릇이다.

참고 내용들...
* 매년 CIO 매거진(CIO Magazine)이 62개국의 IT 보안 전문가를 대상으로 해서 조사한 전세계 정보 보안 상황(Global State of Information Security)에 관한 세 번째 연구 결과에 따르면, 응답자들은 과거 12개월 동안 평균적으로 날마다 2개 이상의 보안 사고를 경험했다고 한다. 보안에 대한 지출이 늘고 있다고는 하지만 아직은 충분히 높은 수준은 아니다.

* 시큐니아닷컴(Secunia.com)은 오페라 웹 브라우저의 취약성에 대해 알렸다. 이 취약성은 최근 패치된 인터넷 익스플로러의 위협과 매우 유사하다. 이 취약성은 "마우스-클릭" 오류로서, 이 오류로 인해 악의를 품은 웹 사이트 운영자가 한 컴퓨터에서 무작위 코드를 다운로드하여 실행이 가능해질 수 있다.

* 어도비(Adobe)는 MS의 선례를 따라 매달 취약성 패치를 내놓기 시작할 계획이라고 발표했다.@